Exportar, configurar e exibir registros de log de auditoria
Depois de procurar no registo de auditoria e transferir os resultados da pesquisa para um ficheiro CSV, o ficheiro contém uma coluna com o nome AuditData, que contém informações adicionais sobre cada evento. Os dados nessa coluna são formatados como um objeto JSON, que contém várias propriedades configuradas como pares property:value separados por vírgulas. Pode utilizar a funcionalidade de transformação JSON no Editor do Power Query no Excel para dividir cada propriedade no objeto JSON na coluna AuditData em múltiplas colunas para que cada propriedade tenha a sua própria coluna. Isto permite-lhe ordenar e filtrar uma ou mais destas propriedades, o que pode ajudá-lo a localizar rapidamente os dados de auditoria específicos que procura.
Dica
Se você não é um cliente E5, use a avaliação das soluções do Microsoft Purview de 90 dias para explorar como os recursos adicionais do Purview podem ajudar sua organização a gerenciar as necessidades de segurança e conformidade de dados. Comece agora no hub de avaliações do Microsoft Purview. Saiba mais detalhes sobre os termos de inscrição e avaliação.
Etapa 1: Exportar resultados da pesquisa do log de auditoria
A primeira etapa é pesquisar o log de auditoria e, em seguida, exportar os resultados para o seu computador local em um arquivo CSV (valores separados por vírgula).
Execute uma pesquisa de registo de auditoria e reveja os critérios de pesquisa, se necessário, até ter os resultados pretendidos.
Na página de resultados da pesquisa, selecione Exportar.
Esta opção exporta todos os registos de auditoria da pesquisa de registos de auditoria que executou no passo 1 e adiciona os dados não processados do registo de auditoria a um ficheiro CSV. Pode demorar um pouco para preparar o arquivo de download de uma pesquisa grande. Resultado de ficheiros grandes ao procurar todas as atividades ou ao utilizar um vasto intervalo de datas.
Depois de concluir o processo de exportação, uma mensagem é exibida na parte superior da janela que solicita que você abra o arquivo CSV e salve-o no seu computador local. Você também pode acessar o arquivo CSV na pasta Downloads.
Observação
É possível baixar no máximo 50 mil entradas para um arquivo CSV de uma única pesquisa de logs de auditoria. Se 50 mil entradas forem baixadas para o arquivo CSV, você poderá supor que existem provavelmente mais de 50 mil eventos que corresponderam aos critérios de pesquisa. Para exportar mais do que esse limite, tente usar um intervalo de datas menor para reduzir o número de registros do log de auditoria. Talvez seja necessário executar várias pesquisas com intervalos de datas menores para exportar mais de 50 mil entradas.
Etapa 2: Formatar o log de auditoria exportado usando o Editor do Power Query
O passo seguinte consiste em utilizar a funcionalidade de transformação JSON no Editor do Power Query no Excel para dividir cada propriedade no objeto JSON na coluna AuditData na sua própria coluna. Em seguida, filtra colunas para ver registos com base nos valores de propriedades específicas. Isto pode ajudá-lo a localizar rapidamente os dados de auditoria específicos que procura.
Abra uma pasta de trabalho vazia no Excel para Office 365, Excel 2019 ou Excel 2016.
No separador Dados , no grupo do friso Obter & Transformar Dados , selecione De Texto/CSV.
Abra o arquivo CSV que você baixou na Etapa 1.
Na janela que aparece, selecione Transformar Dados.
O ficheiro CSV é aberto no Editor de Consultas. Existem quatro colunas: CreationDate, UserIds, Operations e AuditData. A coluna AuditData é um objeto JSON que contém várias propriedades. A próxima etapa é criar uma coluna para cada propriedade no objeto JSON.
Clique com o botão direito do mouse no título da coluna AuditData, selecione Transformare, em seguida, selecione JSON.
No canto superior direito da coluna AuditData, selecione o ícone de expansão.
Uma lista parcial das propriedades dos objetos JSON na coluna AuditData é exibida.
Selecione Carregar mais para exibir todas as propriedades dos objetos JSON na coluna AuditData.
Você pode desmarcar a caixa de seleção ao lado de qualquer propriedade que não quiser incluir. Eliminar colunas que não são úteis para a sua investigação é uma boa maneira de reduzir a quantidade de dados exibidos no log de auditoria.
Observação
As propriedades JSON apresentadas na captura de ecrã anterior (depois de clicar em Carregar mais) baseiam-se nas propriedades encontradas na coluna AuditData das primeiras 1000 linhas no ficheiro CSV. Se houver propriedades JSON diferentes nos registros após as primeiras 1.000 linhas, essas propriedades (e uma coluna correspondente) não serão incluídas quando a coluna AuditData for dividida em várias colunas. Para ajudar a evitar esta situação, considere executar novamente a pesquisa de registos de auditoria e restringir os critérios de pesquisa para que sejam devolvidos menos registos. Outra solução é filtrar itens na coluna Operações para reduzir o número de linhas (antes de executar o passo 5) antes de transformar o objeto JSON na coluna AuditData .
Dica
Para ver um atributo numa lista como AuditData.AffectedItems, clique no ícone Expandir no canto superior direito da coluna a partir da qual pretende extrair um atributo e, em seguida, selecione Expandir para Nova Linha. A partir daí, é um registo e pode selecionar o ícone Expandir no canto superior direito da coluna, ver os atributos e selecionar aquele que pretende ver ou extrair.
Efetue um dos seguintes procedimentos para formatar o título das colunas adicionadas para cada propriedade JSON selecionada.
- Anule a seleção da caixa de verificação Utilizar o nome da coluna original como prefixo para utilizar o nome da propriedade JSON como os nomes das colunas; por exemplo, RecordType ou SourceFileName.
- Deixe a caixa de verificação Utilizar o nome da coluna original como prefixo selecionada para adicionar o prefixo AuditData aos nomes das colunas; por exemplo, AuditData.RecordType ou AuditData.SourceFileName.
Selecione OK.
A coluna AuditData é dividida em múltiplas colunas. Cada nova coluna corresponderá a uma propriedade no objeto JSON AuditData. Cada linha na coluna conterá um valor para a propriedade. Se a propriedade não contiver um valor, o valor nulo será exibido. No Excel, as células com valores nulos ficam vazias.
No separador Base, selecione Fechar & Carregar para fechar a Editor do Power Query e abrir o ficheiro CSV transformado num livro do Excel.
Usar o PowerShell para pesquisar e exportar registros de log de auditoria
Em vez de utilizar a ferramenta de pesquisa de registos de auditoria no portal do Microsoft Purview ou no portal de conformidade do Microsoft Purview, pode utilizar o cmdlet Search-UnifiedAuditLog no Exchange Online PowerShell para exportar os resultados de uma pesquisa de registo de auditoria para um ficheiro CSV. Em seguida, você pode seguir o mesmo procedimento descrito na Etapa 2 para formatar o log de auditoria usando o editor do Power Query. Uma vantagem de usar o cmdlet do PowerShell é que você pode pesquisar eventos de um serviço específico usando o parâmetro RecordType. Eis alguns exemplos de utilização do PowerShell para exportar registos de auditoria para um ficheiro CSV para que possa utilizar o editor de Power Query para transformar o objeto JSON na coluna AuditData, conforme descrito no Passo 2.
Nesse exemplo, execute os comandos a seguir para retornar todos os registros relacionados às operações de compartilhamento do SharePoint.
$auditlog = Search-UnifiedAuditLog -StartDate 06/01/2019 -EndDate 06/30/2019 -RecordType SharePointSharingOperation
$auditlog | Select-Object -Property CreationDate,UserIds,RecordType,AuditData | Export-Csv -Path c:\AuditLogs\PowerShellAuditlog.csv -NoTypeInformation
Os resultados da pesquisa são exportados para um ficheiro CSV com o nome PowerShellAuditlog que contém quatro colunas: CreationDate, UserIds, RecordType, AuditData).
Você também pode usar o nome ou valor de enumeração do tipo de registro como o valor para o parâmetro RecordType. Para obter uma lista de nomes de tipo de registro e seus respectivos valores de enumeração, consulte a tabela AuditLogRecordType no esquema da API da Atividade de Gerenciamento do Office 365.
Você pode incluir somente um único valor para o parâmetro RecordType. Para procurar registos de auditoria para outros tipos de registo, tem de executar os dois comandos anteriores novamente para especificar um tipo de registo diferente e acrescentar esses resultados ao ficheiro CSV original. Por exemplo, você poderia executar os dois comandos a seguir para adicionar atividades de arquivos do SharePoint do mesmo intervalo de datas ao arquivo PowerShellAuditlog.csv.
$auditlog = Search-UnifiedAuditLog -StartDate 06/01/2019 -EndDate 06/30/2019 -RecordType SharePointFileOperation
$auditlog | Select-Object -Property CreationDate,UserIds,RecordType,AuditData | Export-Csv -Append -Path c:\AuditLogs\PowerShellAuditlog.csv -NoTypeInformation
Dicas para exportar e conferir o log de auditoria
Seguem-se algumas sugestões e exemplos de exportação e visualização do registo de auditoria antes e depois de utilizar a funcionalidade de transformação JSON para dividir a coluna AuditData em múltiplas colunas.
- Filtre a coluna RecordType para exibir somente os registros de um serviço específico ou área funcional. Por exemplo, para mostrar eventos relacionados com a partilha do SharePoint, selecione 14 (o valor de enumeração dos registos acionados pelas atividades de partilha do SharePoint). Para obter uma lista dos serviços que correspondem aos valores de enumeração exibidos na coluna RecordType, confira Propriedades detalhadas no log de auditoria.
- Filtre a coluna Operations para exibir os registros de atividades específicas. Para obter uma lista da maioria das operações que correspondem a uma atividade pesquisável na ferramenta de pesquisa de registos de auditoria no portal do Microsoft Purview ou no portal de conformidade, consulte a secção "Atividades auditadas" em Procurar no registo de auditoria.